美國聯(lián)邦調(diào)查局于近日警告稱，梭子魚電子郵件安全網(wǎng)關（ESG）的一個重要遠程命令注入漏洞的補丁 "無效"，已打補丁的設備仍在不斷受到攻擊。

該漏洞被追蹤為CVE-2023-2868，于2022年10月首次被發(fā)現(xiàn)。不法分子通過該漏洞入侵了ESG設備并從被入侵系統(tǒng)中竊取數(shù)據(jù)。

攻擊者部署了以前未知的惡意軟件 SeaSpy 和 Saltwater 以及惡意工具 SeaSide，以建立遠程訪問的反向外殼。

隨后CISA 分享了在相同攻擊中部署的 Submariner 和 Whirlpool 惡意軟件的更多細節(jié)。

5月27日，美國網(wǎng)絡安全機構還將該漏洞添加到其在野外被積極利用的漏洞目錄中，并警告聯(lián)邦機構檢查其網(wǎng)絡是否存在漏洞證據(jù)。

盡管梭子魚在5月20日，也就是發(fā)現(xiàn)漏洞的第二天，就對所有設備進行了遠程修補，并阻止了攻擊者對被入侵設備的訪問。但可能由于它無法確保完全清除攻擊中部署的惡意軟件，所以其在6月7日向客戶發(fā)出了新的警告，稱必須立即更換所有受影響的設備，

聯(lián)邦調(diào)查局也警告梭子魚客戶更換設備

聯(lián)邦調(diào)查局現(xiàn)在加強了警告，告知梭子魚客戶應立即隔離和更換被黑客攻擊的設備。由于補丁無效，所以客戶們即使給設備打好補丁也有被入侵的風險。

聯(lián)邦執(zhí)法機構在周三發(fā)布的緊急警報[PDF]中警告說：強烈建議客戶立即隔離和更換所有受影響的 ESG 設備，并立即掃描所有網(wǎng)絡與所提供的入侵指標列表的連接。

聯(lián)邦調(diào)查局觀察此次的主動入侵行為后認為梭子魚 ESG 設備極易容易受到該漏洞的攻擊。

另外，F(xiàn)BI已經(jīng)證實所有被利用的ESG設備，即使是那些由梭子魚推送補丁的設備，仍然存在被利用的風險。

此外，該機構還建議梭子魚客戶通過掃描與咨詢中共享的入侵指標（IOC）列表中的 IP 的出站連接，調(diào)查其網(wǎng)絡是否存在潛在的其他入侵。

那些在梭子魚設備上使用企業(yè)特權憑據(jù)，如活動目錄域管理員等用戶也被敦促撤銷和輪換這些憑據(jù)，以確保網(wǎng)絡安全。

梭子魚表示，其安全產(chǎn)品已被全球20多萬家企業(yè)使用，其中包括三星、達美航空、三菱和卡夫亨氏等知名企業(yè)。